Mongolian Skimmer: хакеры прячут вредоносный код с помощью Unicode

11.10.2024

Компания Jscrambler раскрыла детали новой кибератаки под названием Mongolian Skimmer. Эта кампания использует тонкости Unicode для скрытия злонамеренных скриптов на страницах интернет-магазинов. Скрытый код занимается кражей финансовой информации и данных кредитных карт, вводимых покупателями при оформлении заказов.

Mongolian Skimmer активируется на взломанных сайтах и загружает основной вредоносный код с внешнего сервера. Хитрость заключается в том, что при открытии инструментов разработчика скрипт отключает некоторые функции, затрудняя анализ и отладку.

Примечательно, что JavaScript допускает использование символов Unicode в идентификаторах, что и используют хакеры для маскировки кода. По словам Педро Фортуны из Jscrambler, использованные скиммером техники совместимы с разными браузерами, что расширяет круг потенциальных жертв.

Интересный случай был обнаружен на одном из сайтов, где работали две группы хакеров одновременно. Они организовали в коде сайта "переговоры", обсуждая дележку прибыли от мошенничества, и даже договорились поделить все на равные части.

Эксперты подчеркивают, что методы обфускации кода с использованием Unicode не новы, но они эффективно создают иллюзию сложности и безопасности. С ростом популярности цифровых скиммеров, киберпреступники стали чаще сталкиваться с конкуренцией внутри одних и тех же целевых платформ, что приводит к необходимости договариваться о разделе территорий и прибыли.